我们希望在我们的 Windows Server 系统上对 RDP 登录(和本地登录)进行多因素身份验证。目前我们所有的 Windows Server 系统都是 Windows Server 2016。我们正在使用 Azure Active Directory 免费层(但如果需要,可以升级)。我们不想在组合中使用第三方产品。
因此,理想情况下,我们会将 Windows Server 2016 系统加入 Azure AD。然后我们会以某种方式要求多因素身份验证。
我们无法找到有关如何执行此操作的简单指南。StackExchange 上有一些关于此主题的问题,但要么没有答案,要么问题已经存在多年并且说无法完成。
由于是 2020 年,并且还有新的 Windows Server 2019 和 2016 操作系统可用,并且由于 Windows 10 桌面支持 MFA,所以我想问这个问题:
如何实现 Azure AD + MFA + Windows Server 2016 RDP 登录?
可能的方法如下:
如果您的服务器位于本地网络中且未托管在 Azure 上,则部署远程桌面网关 (RDG) 场并使用网络策略服务器 (NPS) 扩展将其与 Azure AD 集成,这将让 Azure 处理 MFA 请求:https:// docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-rdg
如果您的服务器托管在 Azure 上,您将能够使用允许您使用 Azure AD 用户帐户进行身份验证的新(预览)功能,这将允许您在用户 RDP 进入服务器时向用户请求 MFA:https: //docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows
请注意,第二种方式有很多限制,其中: